Kıta tls istemci sürümü 1.0 1063.0. TLS ve SSL: Gerekli minimum bilgi. İstemci sertifikalarını kullanmak için nginx'i yapılandırma

Kıta TLS VPN- uzak kullanıcıların korunan kaynaklara erişimini korumak için sertifikalı bir çözüm.

TLS VPN Continent bir istemci-sunucu mimarisine sahiptir ve ağ çevresinin kenarına kurulan Continent TLS VPN Sunucusu ve uzak bilgisayarlara kurulu CIPF'nin bir VPN istemcisi olan Continent TLS VPN İstemcisinden oluşur. kullanıcılar. "Continent TLS VPN Sunucusu", iletilen bilgilerin gizliliğini, bütünlüğünü ve taklit korumasını sağlar ve aşağıdaki işlevleri yerine getirir:

• x.509v3 ortak anahtar sertifikalarını kullanarak kullanıcı kimlik doğrulaması (GOST R 31.11–94, 34.10–2001);
• kullanıcı sertifikasının iptal edilen CRL'ler listesine göre doğrulanması;
• HTTPS protokolü aracılığıyla güvenli şifreli bağlantıların kurulması;
• isteklerin şirket ağının web sunucularına ve diğerlerine çevrilmesi.

Kıta TLS VPN Sunucusu IPC-3000F (S021), 2014

CIPF "Continent TLS VPN Client", sunucu ile karşılıklı kimlik doğrulama, güvenli bağlantı kurulması, sunucu ile şifreli veri alışverişi sağlayan yerel şeffaf bir proxy hizmetidir. Ayrıca mevcut internet tarayıcılarının çoğu ile uyumludur. Ayrıca, kullanıcıların CIPF istemci yazılımı "Continent TLS VPN Client" yüklemeden "Continent TLS VPN Sunucusu" üzerinden çalışmasına izin verilir. Bu durumda, kullanıcının bilgisayarı, GOST şifreleme algoritmaları için destek sağlayan CryptoPro CSP şifreleme hizmeti sağlayıcısının (sürüm 3.6 veya 3.9) yüklü olduğu MS Internet Explorer tarayıcısını kullanmalıdır.

Ürün aşağıdakiler için tasarlanmıştır:

• kullanıcıların bir web tarayıcısı aracılığıyla kamu hizmeti portallarına, elektronik ticaret platformlarına, İnternet bankacılığı sistemlerine veya kurumsal uygulamalara güvenli bağlantısı.
• genel ağların açık kanalları üzerinden veri aktarımı sırasında http trafiğinin kriptografik koruması.

Ana Özellikler

• kriptografik koruma
  • TLS protokolünün GOST 28147–89'a göre şifreleme ile kullanılması, HTTP trafiğinin aktarım düzeyinde güvenilir bir şekilde korunmasını sağlar
• Bilgi güvenliği olaylarının izlenmesi ve kaydedilmesi
  • "Continent TLS VPN" sunucusunun çalışma istatistikleri ve mevcut bağlantıları hakkında operasyonel bilgi edinme
• Kullanıcı Tanımlama ve Kimlik Doğrulama
  • x.509 standart ortak anahtar sertifikalarını kullanan kullanıcıların tanımlanması ve kimlik doğrulaması. Kullanıcı kimlik doğrulama verilerini web sunucusuna geçirme.
• Harici sertifika yetkilileriyle (CA) çalışma
  • x.509 sertifikaları oluşturmak için "Continent TLS VPN", harici bir CA "CryptoPro" kullanır
• HTTP trafiğinin şeffaf proxy'si
  • Web hizmetinde güvenli oturum açmak için kullanıcının tarayıcının adres çubuğunda ip adresini veya alan adını belirtmesi yeterlidir.
• Ölçeklenebilirlik ve hata toleransı
  • Yük dengelemeli (harici yük dengeleyici) yüksek performanslı bir küme şemasında çalışma modu desteği. Artan hata toleransı, kümeye yedekli bir düğüm eklenerek elde edilir.

özellikler

• Yüksek performans - düğüm başına 20.000'e kadar eşzamanlı bağlantı (IPC-3000F).
• herhangi bir web tarayıcısı ile uyumludur.
• Yönetim kolaylığı - tüm ayarlar yönetici tarafından bir web tarayıcısı aracılığıyla gerçekleştirilir.
• Sınırsız performans ölçeklenebilirliği - 100 binden fazla eşzamanlı bağlantıda performans elde etmek için yüksek performanslı bir kümede birleştirme yeteneği.
• Uygulama ve çalıştırma kolaylığı - hazır bir çözüm, kriptografik modülleri bir web sunucusuna yerleştirme ihtiyacını ortadan kaldırır ve kriptografik bilgi korumasının gömülmesini izleme prosedürünü uygular.
• Harici SIEM sistemleri ile kolay entegrasyon.

sertifikalar

• 4. kontrol seviyesi için NDV'nin yokluğu gerekliliklerine uygunluk için Rusya FSTEC sertifikası. 1G dahil sınıfına kadar hoparlörleri, UZ 1 dahile kadar ISPD'yi ve sınıf 1 dahile kadar GIS'i korumak için kullanılır.

• Rusya Federal Güvenlik Servisi Sertifikaları KS2 sınıfı CIPF için "Kıta TLS VPN Sunucusu" ve KS2 ve KS1 sınıfı CIPF için "Kıta TLS VPN İstemcisi".

2018: Sürüm 2.1'in "TLS sunucusunun Kıtası"nı yayınlayın

"Continent TLS-Server" 2.1 müşterileri, kompleksin istemci bölümünü uzak kullanıcıların bilgisayarlarında merkezi olarak güncelleme fırsatı buldu. Ek olarak, bu sürümde ürün lisanslama sistemi basitleştirilmiştir: birden fazla cihaz kümesi için, maksimum eşzamanlı bağlantı sayısı için yalnızca bir lisans gerekir. Ayrıca bir proxy sunucusuna bağlanma lisansları ile bir TLS tüneli üzerinden bağlanma lisanslarının birleştirilmesine de karar verildi. Bütün bunlar, uygun çözüm mimarisinin çalışmasını ve seçimini basitleştirir.

Temmuz 2018 için "Continent TLS-sunucusu" 2.1, Rusya'nın FSB'sinde sertifikasyon için transfer edildi. Testleri geçtikten sonra ürün, KS1 ve KS2 sınıfları için sertifikalandırılacaktır.

2016

Continent serisinin nispeten yeni (2015'te piyasaya sürülen) ürünleri - Continent TLS VPN ve Continent kripto anahtarı yüksek dinamikler gösterdi. Satışlarının hacmi 71 milyon ruble olarak gerçekleşti. ve 62 milyon ruble. sırasıyla. "Continent TLS VPN" talebi, müşterilerin devlet portallarına erişimi korumak için Rus şifreleme algoritmalarının kullanımına ve ayrıca GOST algoritmalarını kullanarak güvenli uzaktan erişim organizasyonuna artan ilgisinden kaynaklanıyordu. "Kıta" kripto anahtarlarının satışındaki büyüme faktörü, coğrafi olarak dağıtılmış veri işleme merkezlerinde iletişim kanallarını koruma ihtiyacıydı.

Uygulama portalı ile "Continent TLS VPN" 1.0.9'un teknik sürümü yayınlandı

Güvenlik Kodu şirketi, Nisan 2016'da, kişisel veri işlemeyi (ISPD) yürüten bilgi sistemlerine ve devlet bilgi sistemlerine güvenli uzaktan erişim sağlamaya yönelik TLS VPN Continent ürününün sürümünün teknik sürümünün yayınlandığını duyurdu ( CBS). Ürün bir dizi yeni özelliğe sahiptir.

En önemli değişikliklerden biri "Kıta TLS VPN" 1.0.9 Active Directory'den kimlik bilgilerini kullanarak kimlik doğrulama ve yetkilendirme yeteneğine sahip bir uygulama portalının oluşturulmasıdır. Bu iyileştirme, çeşitli kullanıcı kategorileri için kurumsal web hizmetlerine erişimi yönetme sürecini büyük ölçüde basitleştirir. Örneğin, portalı kullanarak şirket çalışanları ve yüklenicileri için tek bir erişim noktası sağlayabilirsiniz. Bu durumda, mevcut uygulamalar grubu, kategoriye ve kullanıcı haklarına bağlı olacaktır.

Diğer bir fark, açık HTTP protokolü aracılığıyla erişilebilen bir sunucu başlangıç ​​sayfası oluşturma yeteneğinin eklenmesidir. Güvenli bir web uygulamasını sürdürmenin maliyetini önemli ölçüde azaltmanıza olanak tanır.

Sürüm 1.0.9 ayrıca, ürünü TLS protokolü kullanılarak şifrelenmiş bir kanal aracılığıyla uzak bir kullanıcının etkileşimi üzerindeki kısıtlamaları kaldırmanıza olanak tanıyan TLS tünel modunda çalıştırma özelliğini de ekler. Böyle bir bağlantı, yalnızca web kaynaklarına değil, aynı zamanda terminal sunucuları (RDP protokolü aracılığıyla) veya kurumsal uygulamalar (ERP, CRM, vb.) için "kalın istemciler" gibi diğer uygulama türlerine de erişim sağlamanıza olanak tanır. Bu yaklaşım, TLS VPN Continent'in kullanılabileceği uzaktan erişim senaryolarının sayısını önemli ölçüde artırır.

"Güvenlik Kodu", devlet kurumlarının Rus şifreleme araçlarına geçişinin zamanlamasını tahmin etti

16 Temmuz 2016'da Kremlin web sitesi, devlet organlarının 1 Aralık 2017'ye kadar Rus kriptografik algoritmaları ve şifreleme araçlarının kullanımına geçişini hazırlama ihtiyacı hakkında cumhurbaşkanından hükümet başkanına bir talimat yayınladı. Özellikle hükümet, Rus kriptografik algoritmalarının ve şifreleme araçlarının kullanımına aşamalı bir geçiş için gerekli bir dizi önlemin geliştirilmesini ve uygulanmasını sağlamalı ve ayrıca Rusya Federasyonu vatandaşlarının Rus şifrelemesinin kullanımına ücretsiz erişim sağlamalıdır. aletler.

Yayınlanan belge, devlet kurumlarının bilişim altyapılarının belirtilen gerekliliklere uygun hale getirilmesi için belirli adımları içerecektir. Özellikle, yerel kriptografik bilgi koruma araçlarının (CIPF) mevcut çözümlerine ek olarak devlet kurumlarında toplu kurulum bekleniyor.

Daha:

• Yarovaya Kanunu (Terörizme Karşı Ek Tedbirlerin Oluşturulması Kapsamında Rusya Federasyonu Ceza Kanunu ve Ceza Muhakemesi Kanununda Değişiklik Yapılmasına Dair)

Güvenlik Kodu uzmanları, yeniliğin öncelikle federal ve bölgesel departmanların kamu hizmetlerinin portallarını etkileyeceğini belirtiyor. Aynı zamanda, bu görevin uygulanması iki yönü etkiler: CIPF'nin web sunucusu tarafında ve kullanıcılar tarafında uygulanması. Sertifikalı kripto kitaplığının kullanıcı tarafında tarayıcıya gömüleceğini varsayarsak, web sunucusu tarafında sorunu çözmenin iki yolu vardır.

Bunlardan biri, kriptografik bilgi korumasının web sunucularına yerleştirilmesi, ikincisi ise TLS VPN'in uygulanmasıyla bir yazılım ve donanım kompleksinin (HSS) tanıtılmasıdır (bu ürünlerden biri, tarafından geliştirilen "Continent TLS VPN Sunucusu" dur. HTTP /HTTPS - trafiğini kesecek ve GOST'a (28147-89) göre şifreleme algoritmasına göre şifreleyecek "Güvenlik Kodu"). Seçeneklerin her birinin kendine has özellikleri vardır - hem teknik uygulama hem de projenin zamanlaması açısından.

"Güvenlik Kodu" analistlerine göre, ilk durumda (gömme), çalışma aşamaları aşağıdaki gibi olacaktır:

• Organizasyonel ve idari belgelerin geliştirilmesi (ORD) - 2 ay;
• Uygulama - 0,5 ay;
• Kriptografik bilgi korumasının Rusya FSB'sine entegrasyonunun kontrolü - 7 ay;

Sonuç olarak böyle bir proje 1 yıl içerisinde hayata geçirilebilir.

PAK kurulum seçeneği seçilirken proje aşağıdaki aşamalara bölünecektir:

• ORD'nin Gelişimi - 2 ay;
• 44-FZ - 2,5 ay altında açık ihale yapılması;
• Ekipman ve yazılım tedariği - 1,5 ay;
• Uygulama - 0,5 ay.

Bu durumda projenin toplam süresi yaklaşık 7 ay olacaktır.

Güvenlik Kodu uzmanları, genel kabul görmüş uygulamaya dayalı olarak, hükümete talimatların verilmesi ile şirketler tarafından projeler üzerinde çalışmaya başlanması arasında (tüzük geliştirme ve kabul etme ihtiyacını dikkate alarak) en az üç ay geçtiğini belirtmektedir. Buna göre, kriptografik bilgi korumasını web sunucularına entegre etme seçeneğini seçen kuruluşların cumhurbaşkanı tarafından belirlenen son tarihlere uymama riski vardır. Tüzüklerin kabulünün üç aydan fazla ertelenmesi durumunda ise uygulama sürelerinde aksama yaşanması olasıdır.

“Zamanlamayla ilgili zorluklara ek olarak, ilk yol - gömme - başka zorluklarla doludur. Bu, önce test laboratuvarı için bir belge paketinin tasarımı ve onaylanması, ardından test laboratuvarının analiz sonuçlarına göre kodda değişiklik yapılması ve uygulamada hata ayıklanması için ek işçilik maliyetleridir. Ancak ikinci seçeneğin ana artısı, bir PAK seçerken müşterinin büyük kuruluşlar için tasarlanmış güçlü bir yüksek performanslı endüstriyel çözüm almasıdır. Güvenlik Kodu ürün pazarlama müdürü Pavel Korostelev, ölçeklenebilir, yönetimi kolay, herhangi bir İnternet tarayıcısıyla uyumlu, harici SIEM sistemleriyle kolayca entegre edilebilir” dedi.

Yukarıda belirtilenler ışığında, "Güvenlik Kodu", hükümet müşterilerinin yasal gereklilikleri yerine getirmek için en uygun algoritmayı seçmesini ve TLS VPN uygulamasıyla bir yazılım ve donanım kompleksi (HSS) uygulama yolunu izlemesini önerir. Uzak kullanıcıların web kaynaklarına güvenli erişimi için Rusya Federal Güvenlik Servisi tarafından onaylanan Continent TLS VPN donanım ve yazılım sistemi kullanılmaktadır. Dağıtımı kolaydır, son kullanıcılar için ücretsiz bir TLS istemcisine sahiptir ve 100.000'den fazla eşzamanlı bağlantıyı destekleyebilir.

CIPF "Continent TLS VPN Server" üzerinde 30 Temmuz 2015 tarihli SF/124-2676 ve CIPF "Continent TLS VPN Client" üzerinde SF/525-2677, SF/525-2678 (sürüm 1 ve 2) uygunluğu onaylar FSB Rusya'nın gereklilikleri ile KS2 ve KS1 sınıfı şifreleme (kriptografik) araçlarına. Rusya FSB sertifikaları, devlet sırrı oluşturan bilgileri içermeyen bilgilerin kriptografik olarak korunması için CIPF "Continent TLS VPN" kullanımına izin verir.

CIPF "Kıta TLS VPN Sunucusu" için 2 Aralık 2014 tarihinde yayınlanan Rusya FSTEC No. 3286 Sertifikası, ürünün NDV'nin yokluğu için 4. seviye kontrol kılavuzlarının gerekliliklerine uygunluğunu onaylar ve kullanımına izin verir. güvenlik sınıfı 1G'ye kadar bir AU oluştururken ve ISPD ve GIS'de sınıf 1'e kadar bilgi koruması için.

Son zamanlarda TLS ve SSL'den daha fazla bahsedildi, dijital sertifikaların kullanımı daha alakalı hale geldi ve hatta ziyaret edilen siteler ve müşterinin tarayıcısı arasındaki trafik şifrelemesini garanti etmek için herkese ücretsiz olarak dijital sertifika sağlamaya hazır şirketler ortaya çıktı. Bu, elbette güvenlik için gereklidir, böylece ağdaki hiç kimse istemciden sunucuya iletilen verileri alamaz ve bunun tersi de geçerlidir. Her şey nasıl çalışır ve nasıl kullanılır? Bunu anlamak için belki de teoriden başlamak ve sonra pratikte göstermek gerekir. Yani, SSL ve TLS.

SSL nedir ve TLS nedir?

SSL, güvenli yuvaların düzeyi olan Güvenli Yuva Katmanı anlamına gelir. TLS - Aktarım Katmanı Güvenliği, aktarım katmanı güvenliği. SSL daha eski bir sistemdir, TLS daha yenidir ve Netscape Communications tarafından geliştirilen SSL 3.0 spesifikasyonunu temel alır. Bununla birlikte, bu protokollerin görevi aynıdır - İnternetteki iki bilgisayar arasında güvenli veri aktarımı sağlamak. Bu aktarım çeşitli siteler, e-posta, mesajlaşma ve çok daha fazlası için kullanılır. Prensip olarak, herhangi bir bilgiyi bu şekilde aktarabilirsiniz, daha fazlası aşağıdadır.

Güvenli aktarım, iletilen bilgilerin doğrulanması ve şifrelenmesi yoluyla sağlanır. Aslında, bu protokoller, TLS ve SSL aynı şekilde çalışır, temel farklılıklar yoktur. Aynı sunucuda bile aynı anda kullanılabilmelerine rağmen TLS'nin SSL'nin halefi olduğu söylenebilir. Bu tür bir destek, hem yeni istemcilerle (cihazlar ve tarayıcılar) hem de TLS'yi desteklemeyen eski istemcilerle çalışmayı sağlamak için gereklidir. Bu protokollerin görünüm sırası şöyle görünür:

SSL 1.0 - hiç yayınlanmadı
SSL 2.0 - Şubat 1995
SSL 3.0 - 1996
TLS 1.0 - Ocak 1999
TLS 1.1 - Nisan 2006
TLS 1.2 - Ağustos 2008

SSL ve TLS nasıl çalışır?

SSL ve TLS'nin çalışma prensibi dediğim gibi aynıdır. TCP / IP protokolü üzerinden, verilerin uygulama protokolü - HTTP, FTP vb. aracılığıyla iletildiği şifreli bir kanal kurulur. Grafiksel olarak şu şekilde temsil edilebilir:

Uygulama protokolü TLS/SSL'de "sarılır" ve bu da TCP/IP'de sarılır. Aslında uygulama protokolü verileri TCP/IP üzerinden iletilir, ancak şifrelenir. Ve yalnızca bağlantıyı kuran makine iletilen verilerin şifresini çözebilir. İletilen paketleri alan diğer herkes için, şifresini çözemezlerse bu bilgi anlamsız olacaktır.

Bağlantı birkaç adımda kurulur:

1) İstemci, sunucuyla bağlantı kurar ve güvenli bir bağlantı ister. Bu, ya başlangıçta SSL/TLS ile çalışmak üzere tasarlanmış bir bağlantı noktasında bir bağlantı kurarak, örneğin 443, ya da ek olarak istemciden normal bir bağlantı kurduktan sonra güvenli bir bağlantı kurmasını isteyerek gerçekleştirilebilir.

2) Bir bağlantı kurarken, istemci "bildiği" bir şifreleme algoritmaları listesi sağlar. Sunucu, alınan listeyi, sunucunun kendisinin "bildiği" algoritmalar listesiyle karşılaştırır ve en güvenilir algoritmayı seçer, ardından müşteriye hangi algoritmayı kullanacağını söyler.

3) Sunucu, sertifika yetkilisi tarafından imzalanmış dijital sertifikasını ve sunucunun açık anahtarını istemciye gönderir.

4) İstemci, sunucu sertifikasını imzalayan güvenilir CA'nın sunucusuyla iletişim kurabilir ve sunucu sertifikasının geçerli olup olmadığını kontrol edebilir. Ama bağlanmayabilir. İşletim sistemi genellikle, örneğin tarayıcılar gibi sunucu sertifikalarının imzalarının doğrulandığı, sertifika yetkililerinin kök sertifikalarına zaten sahiptir.

5) Güvenli bir bağlantı için bir oturum anahtarı oluşturulur. Bu, aşağıdaki şekilde yapılır:
- İstemci rastgele bir dijital dizi oluşturur
- İstemci, sunucunun açık anahtarı ile şifreler ve sonucu sunucuya gönderir.
- Sunucu, özel anahtarı kullanarak alınan dizinin şifresini çözer
Şifreleme algoritmasının asimetrik olduğu göz önüne alındığında, yalnızca sunucu dizinin şifresini çözebilir. Asimetrik şifreleme kullanılırken iki anahtar kullanılır - özel ve genel. Herkese açık gönderilen mesaj şifrelenir ve özel mesajın şifresi çözülür. Genel anahtarla bir mesajın şifresini çözemezsiniz.

6) Böylece şifreli bir bağlantı kurulur. Üzerinden iletilen veriler şifrelenir ve bağlantı sonlandırılana kadar şifresi çözülür.

Kök Sertifikası

Hemen yukarıda kök sertifikadan bahsetmiştim. Bu, imzalanan sertifikanın ilgili hizmete ait olduğunu onaylayan bir yetkilendirme merkezi sertifikasıdır. Sertifikanın kendisi genellikle, sertifikanın verildiği sunucunun adı ve bu sertifikanın geçerlilik süresi hakkında bilgi içeren bir dizi bilgi alanı içerir. Sertifikanın süresi dolmuşsa geçersizdir.

İmza Talebi (CSR, Sertifika İmza Talebi)

İmzalı bir sunucu sertifikası almak için, bir imzalama isteği (CSR, Sertifika İmza İsteği) oluşturmanız ve bu isteği, doğrudan sunucuya yüklenen imzalı bir sertifikayı döndürecek bir yetkilendirme merkezine göndermeniz gerekir, nasıl yapılacağını göreceğiz. bunu aşağıda pratikte yapın. Önce bir şifreleme anahtarı oluşturulur, ardından bu anahtara dayalı olarak bir imzalama isteği, bir CSR dosyası oluşturulur.

İstemci sertifikası

Hem cihaz kullanımı hem de kullanıcı kullanımı için bir istemci sertifikası oluşturulabilir. Genellikle bu tür sertifikalar, istemci sunucunun gerçekten iddia ettiği kişi olduğunu doğruladığında ve sunucu da yanıt olarak aynısını yaptığında iki yönlü doğrulamada kullanılır. Bu etkileşime iki yönlü kimlik doğrulama veya karşılıklı kimlik doğrulama denir. İki yönlü kimlik doğrulama, tek yönlü kimlik doğrulamaya kıyasla güvenlik düzeyini artırmanıza olanak tanır ve ayrıca oturum açma ve parola kullanarak kimlik doğrulamanın yerini alabilir.

Sertifika oluşturmak için eylem zinciri

Uygulamada, sertifika üretimi ile ilgili eylemlerin en başından ve aynı zamanda pratikte nasıl çalıştığını görelim.

Yapılacak ilk şey bir kök sertifika oluşturmaktır. Kök sertifika kendisi tarafından imzalanır. Daha sonra bu sertifika ile diğer sertifikalar imzalanacaktır.

$ openssl genrsa -out root.key 2048 RSA özel anahtarı oluşturuluyor, 2048 bit uzun modül ..........+++ ................... ........................++++ e 65537 (0x10001) $ openssl req -new -key root.key -out root.csr sertifika talebinize dahil edilecek bilgileri girmeniz istenecek. Girmek üzere olduğunuz şey, Ayırt Edici Ad veya DN olarak adlandırılan şeydir. Oldukça fazla alan var ama bazılarını boş bırakabilirsiniz Bazı alanlar için varsayılan bir değer olacaktır, "." girerseniz alan boş bırakılacaktır. ----- Ülke Adı (2 harfli kod) :RU Eyalet veya İl Adı (tam ad) :N/A Yerellik Adı (örn. şehir) :Saint-Petersburg Kuruluş Adı (örn. şirket) :Şirketim Kuruluş Birim Adı (örn. bölüm) :BT Hizmeti Ortak Adı (örn. sunucu FQDN'si veya SİZİN adınız) :Şirketim Kök Sertifika E-posta Adresi : [e-posta korumalı] Lütfen sertifika talebinizle birlikte gönderilecek aşağıdaki "ekstra" özellikleri girin Bir deneme şifresi : İsteğe bağlı bir şirket adı :Şirketim $ openssl x509 -req -days 3650 -in root.csr -signkey root.key -out root.pem İmza tamam konu=/C=RU/ST=N/A/L=Saint-Petersburg/O=Şirketim/OU=IT Hizmeti/CN=Şirket Kök Sertifikam/ [e-posta korumalı]Özel anahtar alma

Böylece önce özel bir anahtar, ardından imza talebi oluşturduk ve ardından kendi isteğimizi anahtarımızla imzaladık ve 10 yıllık kendi dijital sertifikamızı aldık. Bir sertifika oluşturulurken parola (meydan okuma parolası) atlanabilir.

Özel anahtar, sizin adınıza herhangi bir sertifikayı imzalayabilmeniz için güvenli bir yerde SAKLANMALIDIR. Alınan kök sertifika, örneğin sunucunun sertifikasının başkası tarafından değil, bizim tarafımızdan imzalandığını belirlemek için kullanılabilir. Yetkilendirme merkezlerinin kendi sertifikalarını oluştururken yaptıkları işlemlerdir. Kök sertifikayı oluşturduktan sonra sunucu sertifikasını oluşturmaya başlayabilirsiniz.

Sertifika bilgilerini görüntüle

Sertifikanın içeriği şu şekilde görüntülenebilir:

$ openssl x509 -noout -issuer -enddate -in root.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/ [e-posta korumalı] notAfter=22 Ocak 11:49:41 2025 GMT

Bu sertifikayı kimin verdiğini ve süresinin ne zaman dolduğunu görüyoruz.

sunucu sertifikası

Bir sunucu için sertifika imzalamak için aşağıdakileri yapmamız gerekir:

1) Bir anahtar oluşturun
2) Bir imza isteği oluşturun
3) CSR dosyasını yetkilendirme merkezine gönderin veya kendiniz imzalayın

Sunucu sertifikası, sunucu sertifikasını imzalayan sertifikalar zincirini içerebilir, ancak ayrı bir dosyada da saklanabilir. Prensip olarak, her şey bir kök sertifika oluştururken olduğu gibi görünür.

$ openssl genrsa -out server.key 2048 RSA özel anahtarı oluşturuluyor, 2048 bit uzun modül ................................ ................................................ . +++ .................++++ e is 65537 (0x10001) $ openssl req -new -key server.key - out server.csr sertifika talebinize dahil edilecek bilgileri girmeniz istenir. Girmek üzere olduğunuz şey, Ayırt Edici Ad veya DN olarak adlandırılan şeydir. Oldukça fazla alan var ama bazılarını boş bırakabilirsiniz Bazı alanlar için varsayılan bir değer olacaktır, "." girerseniz alan boş bırakılacaktır. ----- Ülke Adı (2 harfli kod) :RU Eyalet veya İl Adı (tam ad) :N/A Yerellik Adı (örn. şehir) :Saint-Petersburg Kuruluş Adı (örn. şirket) :Şirketim Kuruluş Birim Adı (örn. bölüm) :BT Hizmeti Ortak Adı (örn. sunucu FQDN'si veya SİZİN adınız) :www.mycompany.com E-posta Adresi : [e-posta korumalı] Lütfen sertifika talebinizle birlikte gönderilecek olan aşağıdaki "ekstra" nitelikleri girin Bir deneme şifresi : İsteğe bağlı bir şirket adı : $ openssl x509 -req -in server.csr -CA root.pem -CAkey root.key -CAcreateserial -out server. pem -days 365 İmza tamam konu=/C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=www.mycompany.com/ [e-posta korumalı] CA Özel Anahtarını Alma $ openssl x509 -noout -issuer -subject -enddate -in server.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN =Şirketim Kök Sertifikam/ [e-posta korumalı] konu= /C=RU/ST=N/A/L=Saint-Petersburg/O=Şirketim/OU=IT Service/CN=www.mycompany.com/ [e-posta korumalı] notAfter=25 Ocak 12:22:32 2016 GMT

Böylece sunucu sertifikası imzalanmış olur ve bu sertifikayı hangi kuruluşun verdiğini bileceğiz. İmzalandıktan sonra, tamamlanan sertifika, örneğin bir web sunucusuna kurularak amaçlanan amacı için kullanılabilir.

nginx ile bir sunucuya SSL/TLS sertifikası yükleme

Nginx web sunucusuna bir SSL/TLS sertifikası yüklemek için birkaç basit adımı uygulamanız gerekir:

1) .key ve .pem dosyalarını sunucuya kopyalayın. Farklı işletim sistemlerinde, sertifikalar ve anahtarlar farklı dizinlerde saklanabilir. Örneğin Debian'da bu, sertifikalar için /etc/ssl/certs ve anahtarlar için /etc/ssl/private şeklindedir. CentOS'ta bunlar /etc/pki/tls/certs ve /etc/pki/tls/private

2) Ana bilgisayar için yapılandırma dosyasına gerekli ayarları yazın. İşte nasıl görünmesi gerektiği (bu sadece bir örnek):

Sunucu (dinle 443; server_name www.mycompany.com; root html; index index.html index.htm; ssl on; ssl_certificate server.pem; ssl_certificate_key server.key; ssl_session_timeout 5m; # SSLv3 önerilmez!!! # Burada sadece var örneğin ssl_protocols SSLv3 TLSv1; ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+ORTA:+LOW:+SSLv3:+EXP; ssl_prefer_server_ciphers on; konum / (try_files $uri $uri)/ =404; )

3) nginx'i yeniden başlatın

4) Tarayıcı bağlantı noktası 443 sunucusuna gidin - https://www.mycompany.com ve performansını kontrol edin.

Bir Apache Sunucusuna SSL/TLS Sertifikası Yükleme

Apache'ye bir SSL/TLS sertifikası yüklemek de aşağı yukarı aynı görünüyor.

1) Anahtar ve sertifika dosyalarını uygun dizinlerdeki sunucuya kopyalayın

2) Henüz etkinleştirilmemişse, "a2enmod ssl" komutuyla Apache için ssl modülünü etkinleştirin

3) 443 numaralı bağlantı noktasını dinleyecek bir sanal ana bilgisayar oluşturun. Yapılandırma şöyle görünecek:

SunucuYöneticisi [e-posta korumalı] DocumentRoot /var/www Seçenekler FollowSymLinks AllowOverride Yok Seçenekler Dizinler FollowSymLinks MultiViews AllowOverride Yok Sipariş izin ver, reddet tümünden izin ver ScriptAlias ​​​​ /cgi-bin/ /usr/lib/cgi-bin/ AllowOverride Yok Seçenekler +ExecCGI -MultiViews +SymLinksIfOwnerMatch Order izin ver, reddet Tümünden izin ver ErrorLog $(APACHE_LOG_DIR)/error.log LogLevel uyar CustomLog $(APACHE_LOG_DIR)/ssl_access.log SSLCertificateFile /etc/ssl/certs/server.pem SSLCertificateKeyFile /etc/ssl/private/server üzerinde birleştirilmiş SSLEngine. dosya , sunucu sertifikasını imzalayan tüm sertifikaların # listesini içeren #SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt SSLOptions+StdEnvVars SSLOptions+StdEnvVars BrowserMatch "MSIE" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 BrowserMatch "MSIE" ssl-unclean-shutdown

Aynı zamanda yapılması gereken bir şey daha var. Sisteme bağlı olarak httpd.conf veya apache2.conf veya port.conf dosyasında yapılandırmanın aşağıdaki bölümünü bulun:

Dinle 443

Böyle bir koşul yoksa, yapılandırmaya eklenmesi gerekir. Ve bir şey daha: Bir satır eklemeniz gerekiyor

NameVirtualHost *:443

Bu satır httpd.conf, apache2.conf veya port.conf içinde olabilir.

4) Apache web sunucusunu yeniden başlatın

İstemci sertifikası oluşturun

İstemci sertifikası, sunucu sertifikasıyla hemen hemen aynı şekilde oluşturulur.

$ openssl genrsa -out client.key 2048 RSA özel anahtarı oluşturuluyor, 2048 bit uzun modül ........................++++ ..... .................................................++++ e 65537 (0x10001) $ openssl req -new -key client.key -out client.csr Girmek üzere olduğunuz şey, Ayırt Edici Ad veya DN olarak adlandırılan şeydir. Oldukça fazla alan var ama bazılarını boş bırakabilirsiniz Bazı alanlar için varsayılan bir değer olacaktır, "." girerseniz alan boş bırakılacaktır. ----- Ülke Adı (2 harfli kod) :RU Eyalet veya İl Adı (tam adı) :Saint-Petersburg Yerellik Adı (örn. şehir) :^C [e-posta korumalı]:~/Temp/certs/CA$ openssl req -new -key client.key -out client.csr Sertifika talebinize dahil edilecek bilgileri girmeniz istenmek üzeresiniz. Girmek üzere olduğunuz şey, Ayırt Edici Ad veya DN olarak adlandırılan şeydir. Oldukça fazla alan var ama bazılarını boş bırakabilirsiniz Bazı alanlar için varsayılan bir değer olacaktır, "." girerseniz alan boş bırakılacaktır. ----- Ülke Adı (2 harfli kod) :RU Eyalet veya İl Adı (tam ad) :N/A Yerellik Adı (örn. şehir) :Saint-Petrersburg Kuruluş Adı (örn. şirket) :Şirketim Kuruluş Birim Adı (örn. bölüm) :Mühendislik Ortak Adı (örn. sunucu FQDN'si veya SİZİN adınız) :Ivan Ivanov E-posta Adresi : [e-posta korumalı] Lütfen sertifika talebinizle birlikte gönderilecek olan aşağıdaki "ekstra" nitelikleri girin Bir sorgulama şifresi : İsteğe bağlı bir şirket adı : $ openssl x509 -req -in client.csr -CA root.pem -CAkey root.key -CAcreateserial -out client. pem -days 365 İmza tamam konu=/C=RU/ST=N/A/L=Saint-Petrersburg/O=Şirketim/OU=Mühendislik/CN=Ivan Ivanov/ [e-posta korumalı] CA Özel Anahtarını Alma $ openssl x509 -noout -issuer -subject -enddate -in client.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN =Şirketim Kök Sertifikam/ [e-posta korumalı] konu= /C=RU/ST=N/A/L=Saint-Petrsburg/O=Şirketim/OU=Mühendislik/CN=Ivan Ivanov/ [e-posta korumalı] notAfter=25 Ocak 13:17:15 2016 GMT

PKCS12 biçiminde bir istemci sertifikasına ihtiyacınız varsa, oluşturun:

$ openssl pkcs12 -export -in client.pem -inkey client.key -certfile root.pem -out iivanov.p12 Dışa Aktarma Parolasını Girin: Doğrulanıyor - Dışa Aktarma Parolasını Girin:

Artık sunucumuzla çalışmak için istemci sertifikasını kullanabiliriz.

İstemci sertifikalarını kullanmak için nginx'i yapılandırma

Çoğu zaman, dediğim gibi, tek yönlü kimlik doğrulama kullanılır, genellikle sadece sunucu sertifikası kontrol edilir. İstemci sertifikasını doğrulamak için nginx web sunucusunun nasıl alınacağını görelim. İstemci sertifikalarıyla çalışma seçeneklerinin sunucu bölümüne eklenmesi gerekir:

# İstemci ssl_client_certificate /etc/nginx/certs/clientroot.pem tarafından imzalanmış kök sertifikalar; # Olası seçenekler: açık | kapalı | isteğe bağlı | isteğe bağlı_no_ca ssl_verify_client isteğe bağlı; # İstemci tarafından imzalanan sertifika zincirini kontrol etme derinliği ssl_verify_depth 2;

Bundan sonra, ayarları veya tüm sunucuyu yeniden başlatmanız gerekir ve çalışmayı kontrol edebilirsiniz.

Apache'yi istemci sertifikalarını kullanacak şekilde yapılandırma

Apache, sanal ana bilgisayar bölümüne ek seçenekler eklenerek de yapılandırılır:

# SSLCARevocationPath istemcilerini kontrol etmek için kök sertifikaları içeren dizin /etc/apache2/ssl.crl/ # veya SSLCARevocationFile sertifikalarını içeren dosya /etc/apache2/ssl.crl/ca-bundle.crl # İstemci doğrulama seçeneği. Seçenekler şunlardır: # yok, isteğe bağlı, zorunlu ve isteğe bağlı_no_ca SSLVerifyClient gerektirir # İmza derinliği zinciri araması. Varsayılan 1 SSLVerifyDepth 2

Gördüğünüz gibi, doğrulama işlemi tek tip bir şekilde organize edildiğinden seçenekler nginx ile aynıdır.

Openssl ile sertifika bilgilerinin dinlenmesi

Sunucunun istemci sertifikalarıyla etkileşime girdiğini doğrulamak için bağlantının TLS/SSL kullanılarak kurulup kurulmadığını kontrol edebilirsiniz.

Sunucu tarafında ise openssl kullanarak portu dinlemeye başlıyoruz:

Openssl s_server - 443'ü kabul et -cert server.pem -key server.key -state

İstemci tarafında, örneğin culr ile sunucuya erişiriz:

Kıvrılma -k https://127.0.0.1:443

Sunucu tarafından konsolda, sunucu ve istemci arasındaki bilgi alışverişi sürecini gözlemleyebilirsiniz.

Ayrıca -verify [doğrulama derinliği] ve -Verify [doğrulama derinliği] seçeneklerini de kullanabilirsiniz. Küçük harf seçeneği, istemciden bir sertifika ister, ancak bir sertifika vermesi gerekli değildir. Büyük harfle yazılmış - Sertifika sağlanmazsa bir hata oluşur. Sunucu tarafından şöyle dinlemeye başlayalım:

Openssl s_server - 443'ü kabul et -cert server.pem -key server.key -state -Verify 3

Sunucu tarafında, hata şöyle görünür:

140203927217808:hata:140890C7:SSL rutinleri:SSL3_GET_CLIENT_CERTIFICATE:eş bir sertifika döndürmedi:s3_srvr.c:3287:

İstemci tarafından şöyle:

Kıvrılma: (35) hatası:14094410:SSL rutinleri:SSL3_READ_BYTES:sslv3 uyarı anlaşması hatası

İstemci tarafından bir sertifika ve bir etki alanı adı ekleyelim (doğrulama için /etc/hosts dosyasına 127.0.0.1 adresi için ana bilgisayar adını girebilirsiniz):

Kıvrılma https://www.mycompany.com:443 --cacert root.pem --cert client.pem --key client.key

Artık bağlantı başarılı olacak ve sunucu sertifikasını web sunucusuna yükleyebilir, istemci sertifikasını istemciye verebilir ve onlarla çalışabilirsiniz.

Emniyet

SSL/TLS kullanırken ana yöntemlerden biri MITM (Ortadaki Adam) yöntemidir. Bu yöntem, bir sunucu sertifikasının ve trafiği dinleyecek ve sunucu ile istemci arasında değiş tokuş edilen bilgilerin şifresini çözecek bazı düğümlerde bir anahtarın kullanımına dayanır. Dinlemeyi düzenlemek için örneğin sslsniff programını kullanabilirsiniz. Bu nedenle, genellikle kök sertifika ve anahtarın ağa bağlı olmayan bir makinede saklanması, imzalama isteklerinin bir flash sürücüye getirilmesi, imzalanması ve aynı şekilde alınması istenir. Ve elbette, yedekleme yapın.

Genel olarak, dijital sertifikalar ve TLS ve SSL protokolleri bu şekilde kullanılır. Herhangi bir sorunuz / eklemeniz varsa, yorumlara yazın.

navigasyon gönderisi

: 29 yorum

1. cl-service.com

   İstemci, bir sertifika sipariş ederken CSR'yi kendisi oluşturur, burada müşteri de özel anahtarı saklamaya karar verir, sertifika vermek için özel bir anahtara ihtiyacımız yoktur ve müşteri bunu bize hiçbir şekilde aktarmaz. Doğal olarak, bu normal bir sanalda gerçekleşirse, sunucuya kök erişimi olan yöneticilerin orada depolanan anahtarlara erişimi olur.

2. Duacı.

   Göğüsler konusu açıklanmamıştır, çünkü açıklanan PKI teknolojisinin konu başlığı ile ilgisi yoktur. Sadece bir sebepten dolayı, rfc'ye bağlantılar verirdim.
   not Bir köpek ve bir pire hakkında bir şaka vardı.

3. Duacı.

   Asla seni incitmek istemedim. Pratikte SSl ve TLS arasındaki fark hakkında bilgi arıyordum ve Google'daki bağlantınız ilk oldu. Konu başlığı ilgimi çekti. Her şey harika, böyle devam edin!

4. DrAibolit

   Dijital sertifikasyonla ilgili mantıklı açıklamalar için teşekkür ederiz. bu işte yeniyim =)
   Umarım bir sonraki soruyu açıklayabilirsin.
   İnternet sektöründe dolandırıcılık konusu çok gelişmiş olduğu için, ziyaret ettiğim sitelerin (özellikle nakit ve ödemelerin, yatırımların vb. olduğu yerlerde) “bitlerini” kendi başıma nasıl tespit edeceğimi öğrenmek ve tespit etmek istiyorum. buna dayanarak, güvenimin derecesi (sıklıkla kaydolmak, kişisel bilgileri bırakmak, satın alma, işlem, yatırım yapmak zorunda kalıyorum). Bu sertifikanın varlığının böyle bir değerlendirme yapmanızı sağladığını doğru anlarsam. Öte yandan, onu almak sorun değil ve hatta ücretsiz.
   Belirli bir site için dijital sertifikanın varlığını nasıl veya hangi programın yardımıyla belirleyebilirsiniz? ve tercihen, özel bir otorite tarafından SSL DV (sertifika verilmesi yalnızca etki alanının doğrulanması ile gerçekleştirilir), SSL OV (kuruluşun doğrulanması ile), EV (tüzel kişiliğin genişletilmiş doğrulaması ile) verildiğinde atanan kategorisi. Sahte siteler büyük olasılıkla son sertifika seçeneğini kullanmayacaktır.
   Sitelerin güvenilirliğini belirlemenin daha fazla yolunu söylerseniz sevinirim))

   1. mnorin Yazı Yazarı

      Henüz bu amaçlara yönelik özel bir programa rastlamadım ama bu konuda birkaç ipucu verebilirim.
      Örneğin, Chromium veya Google Chrome kullanabilirsiniz. Örneğin, gerçekten dijital sertifikalarla ilgilenen bir şirket olan https://www.thawte.com/ sitesini ele alalım.
      Adres çubuğu, şirketin adını ve yeşil bir asma kilit içerecektir. Bu, kuruluşun doğrulandığı, en azından SSL OV olduğu anlamına gelir.
      Kilidi tıklarsanız ve açılır kutuda "Ayrıntılar" ve ardından "Sertifikayı Görüntüle", sertifika hakkında bilgileri görebilirsiniz. Thawte için, sertifika şu sertifika ile imzalanmıştır: "thowte Extended Validation SHA256 SSL CA" ve click.alfabank.ru sertifikası da Thawte tarafından imzalanmıştır, ancak farklı bir sertifika ile. Bunlar "çözülme EV SSL CA - G3", yani Genişletilmiş Doğrulama'yı da geçtiler.
      Bunun gibi bir şey.

5. Ruslan

   "SSL ve TLS'nin çalışma prensibi" bölümü, "İstemci rastgele bir dijital dizi oluşturur".

   İstemcinin özel bir oturum ve buna bağlı olarak bir ortak anahtar (açıkça "dijital dizi" olarak adlandırdığınız) oluşturduğundan emindim. Açık anahtar sunucuya iletilir ve sunucu, istemcinin oturum açık anahtarı ile paketleri istemciye doğru şifreler.

   Lütfen açıkla.

6. acemi

   Makale çok faydalı! Hatta pratik örnekler bile var =) Sadece bir şeyi anlamadım - kök sertifika ile sunucu sertifikası arasındaki fark nedir? yoksa aynı şey mi?

7. canlı

   Merhaba.
   Barındırıcı bir hizmet sundu - sanal sunucular için SSL. yararlanmışlar. Üçüncü seviye için olduğu ortaya çıktı, yani. http://www.site.ru sertifikası geçersiz, yalnızca site.ru için. Üstelik ziyaretçiler inatla https protokolüne atılıyor, site.ru veya http://www.site.ru adresine gitmeleri önemli değil. Tabii ki, ikinci durumda, tarayıcı yürek parçalayıcı bir şekilde küfretmeye başlar ve ziyaretçi asla siteye girmez.
   Ve siteye girenler için site çarpık görünmeye başladı, menünün bir kısmı kayboldu, arama sonuçlarındaki bazı resimler artık bazı bileşenler tarafından görüntülenmiyordu.

TLS Continent programı, kullanıcıların belirli web kaynaklarına güvenli erişim elde etmesine yardımcı olur. Anahtar bilgiler güvenli bir kapta saklanır.

kullanım

Kurumsal ağ kullanıcıları artık İnternet'teki belirli kaynaklara uzaktan ve güvenli erişim sağlayabilir. Bağlantı kurulurken sunucu ile karşılıklı kimlik doğrulaması sağlanır. Erişim elde etmek için site adresini tarayıcıya girmelisiniz. Son olarak, istemci, güvenli bir bağlantı oluşturmak için sunucuya bir istek işler ve gönderir. Kimlik doğrulama, anahtar sertifikalara dayalı olarak sağlanır.

İstemci Yetenekleri

Sunucu ve İstemci arasındaki bağlantı protokolü TLSv1'dir. Güvenli bağlantının kurulduğu kaynak, sunucu adında TLS değerini içermelidir. Her şey doğru yapılırsa, ekranda uygun düğmeye basılarak güncellenebilen sertifika gösterilecektir. Giriş yaparken kullanıcı adını ve şifreyi otomatik olarak hatırlama seçeneği vardır. Yetkilendirme işlemi sırasında arka arkaya 5 kez yanlış bilgi girerseniz sistemin otomatik olarak bloke edeceğini unutmayın. Verileri ancak 10 dakika sonra yeniden girmek mümkün olacaktır.

Ana Özellikler

• program, Windows'un tüm sürümleriyle tamamen uyumludur;
• kullanım sürecinde kurumsal kullanıcılar arasında güvenilir koruma sağlanır;
• böyle bir Müşteri, veri alışverişi yapıldığında ve bilgi sızıntısı kabul edilemez olduğunda en uygun çözümdür;
• girmek için verileri (giriş ve şifre) girmeniz ve onaylı bir anahtar çalıştırmanız gerekir;
• çalışma yalnızca TLSv1 ve TLSv1.2 protokollerini destekleyen sunucularla gerçekleştirilir.

Yazılım Kıta TLS VPN– GOST şifreleme algoritmalarını kullanarak web uygulamalarına güvenli uzaktan erişim sağlayan bir sistem. TLS VPN Continent, oturum düzeyinde HTTP trafiğinin kriptografik korumasını gerçekleştirir. Bilgilerin şifrelenmesi GOST 28147-89 algoritmasına göre gerçekleştirilir.

Uzak kullanıcıların tanımlanması ve kimlik doğrulaması

Kullanıcıların tanımlanması ve kimlik doğrulaması, x.509v3 standardının (GOST R 31.11–94, 34.10–2001) ortak anahtar sertifikaları kullanılarak gerçekleştirilir. TLS VPN Continent, anahtar sertifikaları sertifika iptal listelerine (CRL'ler) karşı kontrol eder. Sertifikalar, harici bir sertifika yetkilisi tarafından verilir.

Kimlik doğrulama prosedürlerinin başarılı bir şekilde tamamlanması durumunda, kullanıcının talebi HTTP üzerinden güvenli bir ağa, uygun web sunucusuna yönlendirilir. Bu durumda, kullanıcının her HTTP oturumuna özel tanımlayıcılar (istemci tanımlayıcı ve IP tanımlayıcı) eklenir.

İletilen bilgilerin kriptografik koruması

TLS VPN Continent, oturum düzeyinde HTTP trafiğinin kriptografik korumasını gerçekleştirir. Bilgilerin şifrelenmesi GOST 28147-89 algoritmasına göre gerçekleştirilir. Karma işlevi, GOST R 34.11–94, GOST R 34.11–2012 algoritmasına göre hesaplanır. Elektronik imzanın oluşturulması ve doğrulanması GOST R 34.10–2001, GOST R 34.10–2012 algoritmasına göre gerçekleştirilir.

Korumalı sunucuları ve adres çevirisini gizleme

TLS VPN Continent, istekleri filtreler ve istek adreslerini kurumsal ağ web sunucularına çevirir. Adres çevirisi "Continent TLS VPN" yöneticisi tarafından belirlenen kurallara göre yapılır.

Hata toleransı ve ölçeklenebilirlik

TLS VPN Continent, yük dengeleme (harici yük dengeleyici) ile yüksek performanslı bir küme şemasında çalışmayı destekler. Artan hata toleransı, kümeye yedekli bir düğüm eklenerek elde edilir. Aynı zamanda, dengeleme kümesinin öğeleri süresiz olarak artırılabilir. Bir küme elemanının arızalanması, yük kalan elemanlar arasında eşit olarak dağıtıldığından bağlantılarda kopmaya yol açmaz.

İzleme ve olay günlüğü

TLS VPN Continent'te yönetici, kurulan bağlantıların mevcut durumu ve çalışmalarıyla ilgili istatistikler hakkında her zaman güncel bilgiler alabilir. Bilgi güvenliği olayları sunucuda günlüğe kaydedilir. Tüm olaylar, daha fazla analiz için syslog formatında belirtilen sunucuya gönderilebilir, bu da SIEM sistemleriyle entegrasyonu olabildiğince basit hale getirir.

Kullanışlı yönetim araçları

Yerel ve uzak araçların bir web arayüzü ve kullanışlı bir grafik yönetim konsolu ile birleşimi, güvenlik politikalarının gerekliliklerine uygun olarak TLS VPN Continent'in esnek konfigürasyonunu sağlar.

Desteklenen protokoller

TLS VPN Continent, TLS v.1, TLS v.2 protokollerini destekler.

Herhangi bir web tarayıcısı üzerinden kullanıcı işlemi

Continent TLS VPN İstemci uygulamasını kullanarak, kullanıcılar herhangi bir web tarayıcısından korunan kaynaklara erişebilir. Continent TLS VPN İstemci, korumalı web sunucularına giden tarayıcı trafiğini engelleyen ve onu bir http tünelinde paketleyen yerel bir proxy'dir. Bu sayede kullanıcı, cihazında yüklü olan herhangi bir web tarayıcısı ile çalışabilir.

Kullanıcı dostu bir yazılım istemcisi kullanma

Kullanıcı dostu bir yazılım istemcisi kullanma Kullanıcının cihazında bir istemci olarak Continent TLS VPN İstemcisi veya CryptoPro CSP sürüm 3.6.1 kullanılabilir.

E-bütçe iş istasyonunun kurulumu birkaç aşamada gerçekleşir, karmaşık değildir, ancak özen gerektirir. Her şeyi elektronik bütçe oluşturma talimatlarına göre yapıyoruz. Kısa ve öz...

Elektronik bütçe işyeri kurulumu

Kök sertifika e-bütçesi

İndirilen sertifikaları bu klasörde depolamak için Belgelerim'de bir anahtar klasör oluşturun:

Http://roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/ sitesinde CBS menüsünde -> Sertifika Yetkilisi -> Kök sertifikaları indirmeniz gerekiyor " Kök Sertifika (Nitelikli)" (şekle bakın) veya sertifikaları olan bir flash sürücü aldıysanız, bunları Sertifikalar klasöründen kopyalayın.

Sertifika Kıtası TLS VPN

İndirmeniz gereken ikinci sertifika TLS VPN Continent sertifikası ama yeni roskazna web sitesinde bulamadım bu yüzden sitemden bir link koydum. Continent TLS VPN sertifikasını anahtar klasörüne indirin, daha sonra Continent TLS istemci programını yapılandırırken buna ihtiyacımız olacak.

Elektronik bütçeyle çalışmak için indirilen Kök sertifikayı (nitelikli) yükleyin.

BAŞLAT menüsünde -> Tüm Programlar -> CRYPTO-PRO -> Sertifikalar programını çalıştırın.

Aşağıdaki şekilde gösterildiği gibi Sertifikalar öğesine gidin:

Eylem menüsüne gidin - Tüm görevler - İçe Aktar, Sertifika İçe Aktarma Sihirbazı penceresi görünecektir - Sonraki - Genel Bakış - İndirilenleri bulun Kök sertifikası (nitelikli) bizim durumumuzda, anahtar klasöründeki Belgelerim'de bulunur

Her şey doğru yapılırsa, Federal Hazine CA'sının kök sertifikası sertifikalar klasöründe görünecektir.

Elektronik bütçeyle çalışmak için "Continent TLS Client" kurulumu

Continent_tls_client_1.0.920.0 internette bulunabilir.

İndirilen arşivi paketinden çıkarın, CD klasörüne gidin ve ContinentTLSSetup.exe dosyasını çalıştırın.

Öğeden Continent TLS Client KC2'ye tıklayın ve kurulumu başlatın.

Koşulları kabul ediyoruz

Hedef klasörde varsayılan olarak bırakın

Başlatma yapılandırıcı penceresinde, Kurulum tamamlandıktan sonra yapılandırıcıyı çalıştır kutusunu işaretleyin.

Kurulum sırasında Servis ayarları penceresi görünecektir:

Adres - lk.budget.gov.ru adresini belirtin

Sertifika - daha önce anahtar klasöründe indirilen ikinci sertifikayı seçin.

Tamam'a tıklayın ve kurulumu tamamlayın, Bitti.

İşletim sistemini yeniden başlatma istemine Hayır yanıtını verin.

"Jinn-Client" elektronik imza aracını yükleme

Jinn-Client programını internetten indirebilirsiniz.

Jinn-client - CD klasörüne gidin, setup.exe dosyasını çalıştırın

Jinn-Client listesinden tıklayın, programın kurulumu başlar

Hatayı yok sayın, Devam, İleri'ye tıklayın, sözleşmeyi kabul edin ve İleri'ye tıklayın.

Verilen lisans anahtarını girin

Varsayılan programı ayarlayın, İleri'ye tıklayın

Kurulumu tamamlıyoruz, işletim sistemini yeniden başlatma ile ilgili soruyu cevaplıyoruz Hayır

"Cubesign" elektronik imzasıyla çalışmak için modülün kurulması

Programla birlikte bir arşive ihtiyacınız varsa, yorumları yazın.

Cubesign.msi kurulum dosyasını çalıştırın

Mozilla Firefox tarayıcısını Elektronik Bütçe ile çalışacak şekilde ayarlama.

1. "Araçlar" menüsünü açın ve "Ayarlar"ı seçin.

2. "Ağ" sekmesindeki "Gelişmiş" bölümüne gidin

3. “Bağlantı” ayarları bölümünde “Yapılandır…” düğmesine tıklayın.

4. Açılan bağlantı parametreleri penceresinde değeri ayarlayın.

"Proxy hizmetinin manuel yapılandırması."

5. HTTP proxy alanlarının değerlerini ayarlayın: 127.0.0.1; Bağlantı noktası: 8080.

6. Tamam düğmesine basın.

7. "Ayarlar" penceresinde "Tamam" düğmesini tıklayın.

Elektronik bütçenin kişisel hesabına giriş yapın

Elektronik Bütçenin kişisel hesabına girmek için bir sertifika seçimi ile bir pencere açılacaktır.

Elektronik Bütçenin Kişisel Hesabına girmek için bir sertifika seçiyoruz, sertifikanın özel kısmı için bir şifre varsa, yazıp Tamam'ı tıklayın, ardından Elektronik Bütçenin Kişisel Hesabı açılacaktır.